Microsoft, en güncel işletim sistemi olan Windows Vista ile birlikte, kullanıcılara daha ileri düzeyde koruma sağlayan güvenlik özellikleri gelişmiş bir güvenlik duvarını tanıtmıştır. Öncelikli olarak güvenlik duvarı konusunda bazı temel kavramlar aşağıda verilmiştir.
Güvenlik Duvarı (Firewall): Güvenlik duvarı bir kapı kilidine benzetilebilir. Yalnızca yetkili kişilerin içeri girmesine izin veren, kullanıcı internet erişimi sağladığında, kullanıcının bilgisi dışında bilgisayara erişilmesini engelleyen güvenlik birimidir. Güvenlik duvarı donanım tabanlı ve yazılım tabanlı olmak üzere iki kümede incelenebilir.
- Donanım Tabanlı Güvenlik Duvarı: Genellikle büyük kurumlar ve ağlar tarafından kullanılan donanım tabanlı güvenlik duvarları, önceden belirlenmiş kurallara göre bilgisayarları koruyan yapılardır. İnternet ile bilgisayar arasında bulunan bir cihaz olarak düşünülebilir.
- Yazılım Tabanlı Güvenlik Duvarı: Temelde donanım tabanlı güvenlik duvarlarıyla aynı görevi yerine getiren, daha çok ev kullanıcıları tarafından kullanılan yazılım tabanlı güvenlik birimleridir. Ancak son derece karmaşık yapıda çalışan bazı yazılım tabanlı güvenlik duvarları da mevcuttur.
Windows Firewall: Vista'da bulunan Windows Firewall aracı, Vista öncesi güvenlik duvarı araçlarıyla benzer arayüze sahiptir. Kullanıcılar güvenlik duvarına, XP'de olduğu gibi denetim masasından erişip, güvenlik duvarını aktif veya pasif hale getirebilir, bazı temel düzenlemeler yapabilirler.
- Ancak temel güvenlik duvarı ayarlarının dışında, Vista'nın profesyonel kullanıcılar için sağladığı "Windows Firewall with Advanced Security" aracı farklı bir arayüzde oluşturulmuş, kullanıcılara güvenlik duvarı üzerinde daha fazla kontrol ve daha ileri düzeyde güvenlik imkanı sağlanmıştır.
Vista Firewall with Advanced Security
- Start (Başlat) -> Run (Çalıştır) tıklanır.
- Run(Çalıştır)'a mmc.exe yazılıp Enter tuşuna basılır.
- Ekrana gelen Console sekmesinde File -> Add/Remove Snap in tıklanır.
- Snap-ins list'te Windows Firewall with Advanced Security'e çift tıklanır.
- Select Computer sekmesinden Local Computer seçilir, Finish'e tıklanır.
- Snap-ins List 'te OK tıklanır.
Vista'da, farklı çalışma ortamları için, üç adet ağ profili bulunmaktadır. Bu profiller:
- Domain (etki alanı) Profil: Bilgisayar herhangi bir etki alanına bağlıysa
- Private (kişisel) Profil: Koruma başka bir güvenlik duvarı tarafından sağlanıyorsa (Örneğin: ADSL modem vb. tarafından)
- Public Profil: Koruma sadece güvenlik duvarı tarafından sağlanıyorsa (Örneğin: Havaalanlarında, alışveriş merkezlerinde)
Bu profillere giriş penceresinde bulunan Windows Firewall Properties sekmesinden ulaşılır. Uygun olan profil seçilebileceği gibi, hepsi birden seçilip, güvenlik duvarı aktif veya pasif hale getirilir, inbound ve outbound bağlantılar yeniden düzenlenebilir, customize (özelleştir) ile güvenlik duvarının davranışlarını tanımlayan ayarlar özelleştirilebilir. Vista Firewall'da, varsayılan olarak bütün profillerde outbound bağlantılara izin verilmiş, inbound bağlantılar engellenmiştir.
IPsec Aracı
Vista geliştirilmiş güvenlik duvarının Windows Firewall Properties (özellikler) sekmesinden ulaşılan diğer bir özellik de IPsec aracıdır. Temel olarak bu özellik, güvenli bağlantı kuralları oluşturup, ağ üzerinden veri güvenliğini sağlamaya yardımcı olan bir protokoller grubudur. Örneğin: İki host arasında uzaktan bağlantı kurulduğunda, bu hostların birbiriyle veri iletişimine üçüncü şahısların müdahalesi, IPsec aracının sağladığı veri şifreleme ve kimlik doğrulama metoduyla engellenebilir. Kullanıcılar güvenli bağlantı kuralları tanımlayarak veri iletimini şifreleyebilmektedirler.
IPsec aracında bulunan customize (özelleştir) tıklanarak, Key Exchange (Anahtar Değişimi), Data Protection (Veri Güvenliği) ve Authorization Method (Yetkilendirme Metodu) alanları üzerinde, kullanıcının özel istekleri doğrultusunda mevcut güvenlik ayarlarlarına yeni eklemeler yapılabilir.
Inbound - Outbound (iç yönlü - dış yönlü) Kural Tanımlayarak Exception (İstisna) Oluşturma
İstisnalar (exceptions) programların ve servislerin giriş ve çıkış kapıları olan portlar üzerinde tanımlanır. Port kavramı aşağıda belirtilmiştir.
Port: Portlar genel olarak bir bilgisayar üzerinde çalışan bir servis veya programı tanımak-tanımlayabilmek için kullanılır. Örneğin: Uzak bir cihaz herhangi bir servisi çalıştırmak için bir sunucuya bağlandığında, cihazın hangi servisi çalıştırmak istediği sunucu üzerinde bulunan portlar tarafından tanımlanabilir ve cihazın istediği servisin çıkışı, sunucudan yine bu portlar aracılığı ile istemci cihazın ilgili portuna ulaştırılır.
Bazı Bilinen Portlar:
- SMTP --> 25. Port
- RIP --> 520. Port
- HTTP --> 80. Port
- POP3 --> 110. Port
- TELNET --> 23. Port
- FTP --> 20 ve 21. Portlar
- HTTPS --> 443. Portları kullanarak istemci cihazın isteğine karşılık verirler.
Kural Tanımlayarak İstisna Oluşturma: Genel anlamda, belirli programlara veya portlara erişimi kontrol etmek amacıyla güvenlik duvarı üzerinde kurallar tanımlanır. Örneğin: Gerekli izine sahip olmayan kullanıcıların bir programı çalıştırması ve ulaşması kural tanımlayarak engellenebilir veya izin verilir. İstisna oluşturmak için aşağıdaki adımlar sırasıyla takip edilir:
- Giriş menüsünden Inbound Rule (Kural) -> New Rule (Yeni Kural) seçilir.
- Custom (Özel) seçeneği seçilip Next (İleri) tıklanır.
- Bu penceredeki arayüz ile üzerinde istisna tanımlanmak istenen programın yolu Browse (Gözat) ile belirlenir ve Next (İleri) tıklanır. Aşağıdaki örnekte MS-Messenger programı için bir Inbound istisna oluşturulmaktadır.
- Bu arayüzde, istisna oluşturulacak programın kullanacağı protokol ve port numaraları belirlenir. Veri iletişiminin daha güvenli olması için protokol seçeneğinden TCP seçilir ve port numarası için 1024. - 49151. portlar arasından isteğe göre bir port atanır.(Örnekte keyfi olarak 1985. port seçilmiştir.) İstendiği takdirde bağlantı kurulacak cihazın port numarasıda Remote Port sekmesi kullanılarak belirtilebilir. Next tıklanarak bir sonraki adıma devam edilir.
- Bu arayüzde yerel bilgisayarda bulunan ethernet kartları için, gerekli ip numaraları girilerek engellemeler yapılabilir. Aynı şekilde bağlantı kurulacak host için de engellemeler yapılabilir. Bu sayede oluşturulan kural noktadan noktaya iletişim (point-to-point) gerçekleşecek şekilde yapılandırılır. Bu adımda herhangi bir ayar yapılmazsa oluşturulan kural ile yerelde bulunan tüm ağ kartlarıyla herhangi bir uzak hostla iletişim kurulabilir. Next tıklanarak bir sonraki adıma devam edilir.
- Bu arayüzde oluşturulan kuralın hangi amaçla kullanılacağı belirtilir. Allow the connection (İletişime izin ver) seçeneği seçilip Next (İleri) tıklanarak bir sonraki adıma geçilir.
- Bu arayüzde oluşturulan kuralın hangi profillerde geçerli olacağı belirlenir ve Next (İleri) tıklanarak devam edilir.
- Bu son arayüzde artık oluşturulmuş olan İnbound rule (Kural) için bir isim ve açıklayıcı bir tanım girilir.